האקרים גנבו מיליוני דולרים במטבעות קריפטוגרפיים, לכאורה לאחר הפרת LastPass. הנה מה שאתה צריך לדעת.

כמעט ולא עובר שבוע מבלי שהחדשות על פריצת נתונים מגיעות לכותרות. השלכות אמיתיות הן לכאורה נדירות, והתקפות מוצלחות נפוצות כל כך עד שכמעט מפתה להתעלם מהן ולהמשיך כרגיל. אבל פרצת הנתונים של LastPass של 2022 ראתה פושעים ניגשו לכספות סיסמאות שלמות, מה שהוביל לסדרה של הכחשות בלתי סבירות יותר ויותר מצד החברה.

כעת, נראה שהפריצה של LastPass הובילה פושעי סייבר לגנוב יותר מ-35 מיליון דולר במטבעות קריפטוגרפיים.

מה קרה בפרצת הנתונים של LastPass 2022?

אם אתה מודע לצורך לשמור על בטיחות החשבונות המקוונים שלך, אתה צריך מנהל סיסמאות. במקום לשנן סיסמאות חזקות בעצמך או לעשות שימוש חוזר באותה סיסמה לכל דבר (על כך אנו מייעצים נגד), מנהל סיסמאות מייצר עבורך אישורי התחברות, ומאחסן אותם בצורה מקוונת מוצפנת כספת.

עם מנהל סיסמאות טוב, אתה יכול לבטל את נעילת הכספת שלך באמצעות סיסמת ראש - מה שמאפשר למנהל הסיסמאות להשתמש בסט אישורים ספציפי לאתר כדי להתחבר.

כשאתה בא להסתמך על מנהל סיסמאות, אתה מפקיד בו את הדוא"ל שלך, הבנקאות המקוונת שלך, ערכת התגמולים שלך בחנות, וכן, ארנק הקריפטו שלך.

instagram viewer

האקרים הפרו את LastPass באוגוסט 2022, ולמרות הבטחות חוזרות ונשנות מצד החברה במשך כמה חודשים, LastPass הודתה בדצמבר 2022 שנתוני משתמש אישיים יחד עם כספות סיסמאות מוצפנות גָנוּב. בערך באותה תקופה, MUO החלה לקבל מיילים מלקוחות LastPass בטענה פושעים השתמשו באופן פעיל בתעודותיהם.

למרות ספקולציות מקוונות, ודיווחים לא מבוססים על כך שפושעים הצליחו לפרוץ לכספות סיסמאות שהורדו, LastPass המשיכה להרגיע את הלקוחות עם הצהרות שייקח מיליוני שנים לפצח את סיסמת האב.

בדומה להצהרות קודמות מ-LastPass, כעת מסתבר שזה אולי לא לגמרי נכון, ושובל של עסקאות חשודות מצביעות על ראיות לכך שהנתונים שנלקחו מכספות LastPass משמשים לגניבה דיגיטלית נכסים.

כיצד פושעים משתמשים באישורי LastPass גנובים

כדי להיכנס לחשבון הבנק שלך, אתה בדרך כלל צריך יותר אימות מאשר סיסמה פשוטה. בדרך כלל, הבנק שלך ידרוש ממך להשתמש באפליקציה ייעודית, אימות SMS או שיטה אחרת של אימות רב-גורמי.

זה לא נכון לגבי ארנקי קריפטו, מאובטחים בדרך כלל באמצעות ביטוי סיד של 12 מילים או יותר המעניקות לך גישה מלאה ובלתי מוגבלת לקרנות קריפטו, מפתחות פרטיים ועסקאות. חמוש בשום דבר מלבד סדרת המילים הזו, תוקף יכול במהירות ובקלות לשאוב את הכספים שלך לתוך האתר.

אבל סדרה ארוכה של מילים אקראיות יכולה להיות קשה לזכור באותה מידה כמו סיסמה מסובכת במיוחד, ואנשים רבים מאחסנים אותן בכספות של מנהל הסיסמאות שלהם. וכמו הגבול מדווח, אלו חדשות נהדרות עבור האקרים, שנראה שגנבו מיליוני דולרים בקריפטו.

ניק באקס, מנהל האנליטיקה בחברת Unciphered, סקר כמות עצומה של נתוני גניבת קריפטו שנחשפו על ידי טיילור מונהאן של Metamask וחוקרים אחרים. בספטמבר 2023, הוא סיפר קרבסון אבטחה שפושעים העבירו קריפטו "ממספר קורבנות לאותן כתובות בלוקצ'יין, מה שאיפשר לקשר חזק בין אותם קורבנות".

לאחר זיהוי וראיון של קורבנות, הוא הגיע למסקנה שהגורם המשותף היחיד הוא שהם השתמשו ב-LastPass כדי לאחסן את ביטויי הזרע הקריפטו שלהם.

Bax קורא כעת לכל חברים ובני משפחה המשתמשים ב-LastPass לשנות את כל הסיסמאות שלהם ולהעביר כל קריפטו שאולי נחשף.

לפושעים היה מספיק זמן להשתמש במפתחות הצפנה גנובים כדי לפתוח כספות גנובות של סיסמאות.

למרות שזה הגיוני שגנבים יתמקדו תחילה בנכסי קריפטו הניתנים להעברה בקלות, סביר להניח שהם כבר חשפו את כל סיסמאות LastPass המאוחסנות שלך. הם אינם נמצאים במגבלות זמן, ובסופו של דבר יפנו למשאבים פחות יקרים.

אמנם הם לא יכולים למקד ישירות לחשבונות דואר אלקטרוני, ארנקי PayPal או בנקים, אך ניתן לארוז ולמכור נכסים אלה לצדדים שלישיים פליליים אחרים.

אם אחת מהסיסמאות המאוחסנות בכספת של LastPass לפני 2022 עדיין בשימוש, עליך לשנות אותן מיד.